关于我们 | 联系我们

雅博体育app - 雅博体育app - 安全

当前位置:主页 > 新闻资讯 > 公司新闻 >

知名软件 净网大师(ADSafe)潜伏恶意代码,从众多网站挟制流量

本文摘要:一、概述日前,火绒宁静团队发现”ADSafe净网大师”、”清网卫士”、 “广告过滤大师”等多款知名软件潜伏恶意代码,偷偷挟制用户流量。这些软件出自同一公司,功效类似,主要是屏蔽网页广告。凭据技术分析,三款软件都市通过替换计费名(差别网站和上游分成的标识)的方式来挟制流量,牟取暴利。 其挟制网站数量为近年最多,已达50余家,包罗海内多家知名导航站、电商以及在线消费生意业务平台等。

博亚娱乐下载app

一、概述日前,火绒宁静团队发现”ADSafe净网大师”、”清网卫士”、 “广告过滤大师”等多款知名软件潜伏恶意代码,偷偷挟制用户流量。这些软件出自同一公司,功效类似,主要是屏蔽网页广告。凭据技术分析,三款软件都市通过替换计费名(差别网站和上游分成的标识)的方式来挟制流量,牟取暴利。

其挟制网站数量为近年最多,已达50余家,包罗海内多家知名导航站、电商以及在线消费生意业务平台等。更恐怖的是,”ADSafe”挟制规则可随时通过远程操作被修改,不清除其未来用来执行其他恶意行为的可能性,存在极大宁静隐患。

火绒宁静团队发现,”ADSafe”官网的软件版本虽然停留在v4.0.610,但其论坛、下载站中却公布了v5.3版。凭据技术分析,”清网卫士”、”广告过滤大师”和v5.3版”ADSafe”的功效、广告过滤规则,以及恶意代码都完全一样,可以认定,”清网卫士”和”广告过滤大师”软件其实就是”ADSafe”的最新版本,都市通过替换计费名(差别网站和上游分成的标识)的方式来挟制流量,牟取暴利。现在,”ADSafe”(v5.3及以上版本)和”清网卫士”等软件正在通过海内各大下载站、官网以及官方论坛放肆流传。

用户电脑中只要装了上述软件,网站中(如 图2)发生的流量都市被挟制。如上图所示,此次涉及到的受挟制网站数量是我们近年来发现最多的一次,共有50余家。不仅包罗海内的导航站、电商(淘宝、京东、华为商城、小米商城、1药网等);还包罗海内一些在线消费生意业务平台(新东方、悟空租车);外洋的品牌购物站(Coach、Hanes、Clarins等)。

另外,现在挟制规则还在连续更新,不清除未来可能用于其他攻击。例如火绒之前报道过的病毒使用JavaScript举行挖矿(www.huorong.cn/info/151443978790.html)和窃取小我私家信息(www.huorong.cn/info/1518338707106.html)的案例,建议宽大用户注意防范。”火绒宁静软件”最新版可以拦截”ADSafe”和”清网卫士”。近几年,互联网公司间的流量争夺赛愈演愈烈,并成为其主要收入泉源。

然而”流量”和”侵害用户”往往是相伴而生,这也是”火绒关停流量业务”的初衷。软件提供服务,用户购置服务/产物,才是康健的商业模式,而不是打着”免费”的旗子,背地里却把用户电脑看成”战场”,当成软件厂商的赚钱工具。

归根结底,只有规范的服务、优质的产物,才是企业的制胜法宝,是企业恒久生长的谋划之道。二、病毒泉源火绒近期在多个用户现场发现,名为清网卫士的广告过滤软件会恶意挟制流量。当用户会见搜索引擎、网址导航站、电商网站时,该软件会通过HTTP署理的方式将会见网址挟制为带有推广号的目的网址链接,恶意流量挟制涉及海内外众多线上消费平台及导航搜索站点,海内电商平台包罗:淘宝、京东、苏宁等,外洋线上消费平台则包罗:Coach、Hanes、Nike等多个知名品牌。被挟制的网址列表,如下图所示:被挟制网址随后,我们找到了清网卫士官网(hxxp://www.ad-off.com/),如下图所示:清网卫士官网值得一提的是,在我们检察清网卫士页面源码的时候,发现在被注释的网页代码中竟然泛起了ADSafe(ADSafe)的官网微博地址和用户QQ群。

如下图所示:清网卫士网页源码被注释的清网卫士官方微博地址(https://e.weibo.com/3066343347),实际最终会跳转到ADSafe的官方微博,如下图所示:清网卫士微博地址被注释的QQ群号实际为ADSafe用户群,如下图所示:清网卫士QQ群除此之外,被注释的清网卫士微信民众号 "adoffjwds",民众号名称后半部门"jwds"为净网大师首字母。凭据上述几点,我们可以开端推断,清网卫士可能和ADSafe存在着某种联系。

在我们对ADSafe 5.3.117.9800版本(安装包泉源为某下载站)举行分析后发现,该版本的ADSafe也具有相同的挟制行为。除此之外,该版本ADSafe和清网卫士的功效组件中大部门功效代码基底细同,甚至有部门用于流量挟制的数据文件SHA1也完全相同。

以HTTP署理主模块为例举行代码比对,ADSafe.exe(ADSafe)和Adoff.exe(清网卫士)代码对比,如下图所示:代码对比用于流量挟制的数据文件SHA1对比,如下图所示:数据文件SHA1对比该版本ADSafe安装包数字签名有效,名称为"Shanghai Damo Network Technology Co. Ltd.",即上海大摩网络科技有限公司。如下图所示:ADSafe 5.3.117.9800版本安装包文件属性ADSafe签名信息综上,我们可以完全断定,清网卫士和ADSafe5.3.117.9800版本都属于同一个软件制作商,且带有相同的流量挟制逻辑。

随后,我们也对ADSafe官网(hxxp://www.ad-safe.com/)版本举行了分析。我们发现,官网下载的ADSafe安装包不会释放网络过滤驱动和挟制计谋,由于官网版本安装后网络过滤框架不完整,所以不会举行恶意流量挟制。三、详细分析如上文所述,清网卫士与ADSafe5.3.117.9800版本挟制逻辑基底细同,所以我们下文中针对该版本ADSafe举行详细分析。

病毒运行流程,如下图所示:病毒运行流程如上图所示,由于ADSafe使用HTTP署理的方式举行挟制,所以一旦挟制规则生效,用户电脑中所发生的所有HTTP请求都市被ADSafe举行挟制,停止到我们公布陈诉之前,ADSafe挟制的网址多达54家,且受影响网址还在不停举行更新。网络过滤驱动当当地发生HTTP请求时,网络过滤驱动会将过滤到的HTTP请求转发给当地的HTTP署理(ADSafe.exe)。网络过滤驱动中的转发逻辑,如下图所示:转发逻辑代码HTTP署理HTTP署理历程(ADSafe.exe)主要卖力处置惩罚网络过滤驱动转发来的HTTP请求,凭据差别的规则可以用于做广告过滤和流量挟制。

ADSafe规则分为两个部门,划分在两个差别的目录下。规则目录位置及用途,如下图所示:规则目录位置及用途如上图所示,用户订阅规则主要对应ADSafe中的自界说广告过滤规则,主要用于广告过滤、特工软件过滤等;流量挟制规则中主要包罗挟制计谋和挟制内容,挟制生效后,可以将原有的HTTP请求替换为预先准备好的挟制内容,到达挟制目的。以会见https://www.jd.com为例,由于跳转历程较快,我们断网截取到了挟制链接(hxxps://p.yiqifa.com/c?w=***&t=https://www.jd.com/)。

挟制效果,如下图所示:流量挟制最终跳转页面,如下图所示:最终挟制地址流量挟制计谋不光会被5.3版本的ADSafe直接释放,还可以举行云控更新,就在我们分析的同时,挟制计谋还在不停更新,所以下文所提到的挟制计谋均以我们获取到的最后一个版本为准。ADSafe计谋文件中数据均使用AES算法举行加密,加密后数据使用BASE64举行编码。

由于所有计谋文件解密流程完全相同,下文中不再举行赘述。相关解密逻辑,如下图所示:解密逻辑相关代码计谋更新功效主要对应ADSafe中的AdsCdn.dll模块,该模块主要卖力计谋的请求、下载息争密流程。挟制计谋更新流程首先会会见C&C服务器地址请求计谋设置数据CdnJsonconfig.dat。

雅博体育app下载

C&C服务器地址,如下图所示:C&C服务器地址请求CdnJsonconfig.dat数据相关代码,如下图所示:请求CdnJsonconfig.dat数据代码该文件完成解密后,我们可以获得如下设置:CdnJsonconfig.dat解密后数据如上图所示,其中"0002020A"属性中存放的是计谋更新设置文件下载地址(hxxp:// filesupload.b0.upaiyun.com/pc_v4/rulefile/source_9800.xml?-70969872),通过HTTP请求我们可以获得如下设置:计谋更新设置如上图所示,每一组"<RuleFile>"标签对应一个计谋或数据文件,其下一级的"<sUrl>"标签中存放的是文件下载地址,下载每个文件至当地后都市对文件的MD5值举行比对,确保文件的完整性。在验证MD5之后,会将规则文件解压至ADSafe安装目录下的res目录中。计谋更新相关代码,如下图所示:计谋更新代码我们前文说到,在ADSafe官网版本(4.0版本)中未包罗流量挟制计谋,其实是因为低版本AdsCdn.dll动态库中用于请求CdnJsonconfig.dat数据的网址指向的是一个局域网地址(hxxp://192.168.1.77:823/i.ashx),所以不能举行挟制计谋的更新。不光如此,官网版本安装包安装后,不会释放网络过滤驱动,这就直接导致官网版本的ADSafe安装后基础不具有任何广告过滤功效。

署理服务历程除了上述操作外,还会通过检测窗口名(OllyDbg等)、修改线程调试属性等方式举行反调试,相关代码如下图所示:检测调试器流量挟制计谋在流量挟制计谋下发到当地之后,首先会举行解密,之后加载到HTTP署理服务中。为了利便我们下文中对挟制规则的说明,我们首先引用ADSafe过滤语法简表对过滤规则的关键字举行说明。关键字及相关用途如下图所示:过滤语法简表流量挟制计谋被存放在ADSafe安装目录下的"restc.dat"文件中,经由解密我们可以获得挟制计谋。部门挟制计谋,如下图所示:挟制计谋如上图所示,挟制规则每条寄义大致相同。

首先通过正则匹配网址,在网址匹配乐成之后,会将"$$"后的HTTP数据包内容举行返回,在返回的数据包中包罗带有流量挟制功效的JavaScript剧本。以0025.dat解密后数据包内容为例,如下图所示:数据包内容以前文挟制规则为例,挟制生效后当用户会见"dangdang.com"和"suning.com"等网址时,返回数据都市被替换为HTTP数据包0025.dat。数据包文件内容也需要举行解密,解密后我们可以看到JavaScript剧本控制的相关挟制逻辑。

挟制京东等电商网站首先剧本会凭据差别的网址执行差别的挟制逻辑,网址列表如下图所示:网址挟制规则列表如上图,url属性中存放的是欲挟制网址,name存放的是挟制挪用函数,在该挟制剧本中,每个网址都对应差别的挟制函数。挟制函数挪用逻辑,如下图所示:挟制函数挪用由于挟制网址众多,我们只以较为典型的几种挟制情况举行说明。

我们先以挟制京东商城为例,挟制使用的函数为_fun_17。函数逻辑,如下图所示:用来挟制京东的_fun_17函数_fun_17函数会从预先准备的挟制数据中解密出一组挟制链接,且每个链接都对应一个挟制概率,挟制概率以比例的形式被依次存放在挟制链接数组后面。

解密出的挟制数据,如下图所示:挟制数据在获取到上述挟制链接后,会挪用ft_r函数在当前页面中插入刷新标签举行跳转。如下图所示:ft_r函数内容如上图,每个挟制链接都是通过广告推广平台(如亿起发、星罗、多麦等)链接跳转至最终的京东主页,ADSafe会通过这些广告推广平台举行流量套现。其他网址的挟制也大致相同,下面临其他挟制逻辑举行简朴说明。挟制Hao123导航针对Hao123的挟制逻辑,如下图所示:如上图,挟制Hao123所示用的HTTP数据在0021.dat中存放,解密后与0025.dat大致相同,但该文件中只存放又针对Hao123的相关挟制代码。

挟制函数,如下图所示:Hao123挟制函数上图剧本会从推广号列表中随机选取一个推广号拼接在"https://www.hao123.com/?tn="链接后面,之后也是通过插入刷新标签的方式举行跳转。用来挟制的推广号共8个,如下图所示:用来挟制Hao123的推广号数据挟制百度搜索挟制百度搜索的挟制计谋,如下图所示:挟制计谋挟制百度搜索的数据在0023.dat中,挟制函数如下图所示:百度搜索挟制函数与 Hao123挟制情况相似,推广号也在一个列表中共36个,如下图所示:推广号列表四、同源性分析除了前文中所说的清网卫士外,我们还发现一个与ADSafe具有相同挟制计谋及功效模块的广告过滤软件"广告过滤大师"。

该软件有两个页面完全相同的官网,划分为hxxp://www.admon.cn/和hxxp://www.newadblock.com/,且"admon.cn"域名是由"上海大摩网络科技有限公司"注册的。如下图所示:admon.cn注册信息官网页面不光完全相同,且都带有多家宁静软件的宁静认证,如下图所示:广告过滤大师官网页面广告过滤大师挟制计谋目录与ADSafe、清网卫士对比,如下图所示:挟制计谋目录对比不光目录中文件名基本一致,而且用于流量挟制的数据SHA1也基本一致(只有0025.dat的SHA差别),三款软件也都同时包罗有相同的功效模块。

所以我们可以判断,三款软件同属于一家软件制作厂商。SHA1对比,如下图所示:流量挟制数据文件SHA1对比五、附录文中涉及样本SHA256:。


本文关键词:知名,软件,净网,大师,ADSafe,潜伏,恶意,代码,从,雅博体育app下载

本文来源:雅博体育app-www.masqbc.com

Copyright © 2002-2021 www.masqbc.com. 雅博体育app科技 版权所有 备案号:ICP备13862379号-3